地政学リスクが映すサイバーインテリジェンスの重要性

  • 2023-05-16

地政学リスクとサイバー空間の脅威を別々に捉えていては、適切な経営判断を下せません。本稿では、経営に必要なインテリジェンスの本質、国・地域間の力学がサイバー空間へ及ぼす影響などについて考察し、サイバー攻撃のリスクに対する処方箋を探ります。

脅威を増すサイバー攻撃の動向、半導体分野への影響、企業がとるべき対応

地政学リスクが収まる気配はありません。ロシアによるウクライナ侵攻は1年以上たっても解決の糸口が見えず、台湾海峡を巡る米中のさや当てや北朝鮮のミサイル問題など東アジア情勢の緊迫度も高まっています。東西冷戦の終結から約30年たった今、米欧日を軸にする民主主義陣営、中露に代表される権威主義陣営、どちらにもはっきりとくみしない第三勢力が混在する「曖昧な新冷戦」時代を迎えています。

国・地域間の争いは実空間だけにとどまりません。デジタルの技術革新も加わり、今やサイバー空間が新たな争いの舞台となっています。姿かたちを変えるサイバー攻撃によって、政府や民間企業の機密情報、重要インフラは日々、脅威にさらされています。サイバーリスクは従来の常識では捉えられず、企業は日々より高度な対応に迫られています。

今後、注目されるのは半導体関連業界への影響です。半導体はあらゆる産業の基盤です。半導体の関連業界がサイバー攻撃を受ければ、網の目のように広がるサプライチェーンだけでなく、社会インフラそのものも止まりかねず、経済活動に甚大な影響を及ぼしかねません。

地政学リスクとサイバー空間の脅威を別々に捉えていては、もはや適切な経営判断を下せない時代になりました。地政学的な戦略意図を達成するためにサイバー攻撃が活用されていることに加え、サイバー空間における攻撃手段があるからこそ、その封じ込めや多面的な対応のために新たな政策や規制が生み出されています。いまや両者は相互の在り方を変容させる重要ファクターとして深く結びついています。そのため、地政学とサイバーのインテリジェンスを高め、成功事例を蓄積することで「統合知」として経営戦略に生かす必要性が高まっています。本レポートでは、経営に必要なインテリジェンスの本質、国・地域間の力学の変化によって生じるサイバー空間への影響、それらに伴いグローバルや日本の半導体関連産業に起き得るリスク、企業がとるべき備えや対応策などについて包括的に考察し、サイバー攻撃のリスクに対する処方箋を探ります。

1.企業経営に欠かせない「インテリジェンス」の本質

外部環境が変わり続ける中、変化の芽を事前に察知し、近い将来に取るべき最適な行動を探る能力(インテリジェンス)を磨くことが企業経営には欠かせません。国・地域間の力学争いに伴う安全保障の分野では、従来インテリジェンス主導のアプローチが最も有効な手段として受け入れられてきました。インテリジェンスがなければ直面する脅威を理解できず、効果的な運用能力を損なう可能性が高まるためです。

「防衛する前に脅威を理解する」という原則はサイバーセキュリティにも当てはまります。自社の業務環境からさまざまなデータを集め、処理と抽出を重ねて必要な情報を得る。それらを分析し、経営判断に生かせるような報告につなげる――。複数の行程をしっかり踏むことでインテリジェンスを醸成できるのです。そのためには、脅威、脆弱性、影響の3つの要素の組み合わせからリスクの種類を特定し、適切に評価したうえで優先順位を付けて対応する「リスクベースアプローチ」の徹底が欠かせません。

サイバーインテリジェンスとは具体的にどのような構成をしているのでしょうか。収集すべき情報は非常に多岐にわたります。企業の外部および内部の情報のほか、マルウェア解析などプロアクティブなデータを集め、分析したうえでリスクを評価したり、報告書にまとめたりします。緊急度合いに応じてセキュリティコントロールを更新して対処することも求められます(図表1)。

インテリジェンスを習得するには「自社のビジネスに関わるサイバー脅威のレベルと狙いを評価する」「対応するためのプログラムを作成して導入する」「監視と警告のレベルを高め、防衛体制を整える」「次世代技術を生かし、効果的なセキュリティ構造の計画、特定、実装を繰り返す」というサイクルを回すことが欠かせません。

一連の対応を企業内に根付かせるには相当の時間とリソースを要します。それでも、手遅れになるまで脅威に気付かないという事態は避けなければなりません。優先順位を付け、対策の網の目を徐々に小さくする。経営陣がインテリジェンスへの理解を深める。収集する情報の多様性を保つため、本社だけでなく事業会社などにも必要性を浸透させる――。こうした取り組みを着実にかつ素早く実践することが、インテリジェンスを磨く近道になります。

4.変化し続けるサイバー攻撃に企業はどう備え、対応するべきか

サイバー脅威アクターは日々、企業活動のあらゆる「穴」を狙っています。PwCの観測によると、2023年3月時点で特定・追跡中の脅威アクター数は296、このうち製造業を標的とするのは47、さらに日本国内の半導体企業を標的とするのは3に上ります。

攻撃対象となるセクターは半導体のほか、政府や宇宙、防衛、テクノロジー、金融など多岐にわたります。特に半導体では米国、日本、オランダ、台湾が主な標的になっていることも確認されました。一般的なランサムウェアに加え、中国を拠点とする「Red Djinn」「Red Kelpie」「Red Typhon」の3つの脅威アクターも特定されています。Red Kelpieは中国の中期政策大綱「5カ年計画」で重視する分野ごとに標的を変えています。それぞれのセクターごとに強みを持つ国・地域に照準をあてて攻撃をしていることがうかがえます(図表5)。

Red Kelpieの代表的な戦術、技術、手順をまとめました(図表6)。米非営利研究機関MITRE(マイター)のATT&CK(Adversarial Tactics Techniques and Common Knowledge:サイバー攻撃の戦術や技術に関する共通知識の枠組み)に基づいた分析です。これによると、VPNや仮想デスクトップなどリモートアクセスサービスの脆弱性を突いて侵入する手口が増えています。侵入後、攻撃対象に自分たちの拠点をつくり、情報の持ち出しを狙います。

こうした戦術、技術、手順のなかでも、特に警戒すべきサイバー脅威はVPN機器を狙った攻撃です。警察庁が公表した「令和4年度におけるサイバー空間をめぐる脅威の情勢等について」によると、システムへの侵入・感染経路の6割超がVPN機器でした。これは世界的にも同じ傾向です。ダークウェブやディープウェブでは、脆弱な機器を運用しているIPアドレスの一覧が売買されています。中国を拠点とする脅威アクターとの関連性では、「ゼロデイ」脆弱性の発見能力向上も大きなリスクです。ゼロデイ脆弱性とはソフトウエアに存在する未公開の脆弱性です。こうした脆弱性を悪用することで修正プログラム公開前(公開からの経過時間が0日)に攻撃を実施することができます。中国では2021年に脆弱性管理に関する規定が施行されました。従来欧米圏で開催されていたゼロデイ脆弱性を発見するためのハッキングコンテストを国内で開催し、関連技術を磨く環境を整えています。

日本企業は何をすべきか

高まるサイバー脅威のリスクに日本企業はどのように対抗すればいいのでしょうか。

1つはインテリジェンスを磨くことです。国内の半導体産業を取り巻く環境の変化とともに、サイバー犯罪者集団やランサムウェアなどのサイバー脅威の変化を、常に把握する体制を整えることが欠かせません。インテリジェンスを基にセキュリティ投資や対策実行の時期や規模、将来の計画をつくり、更新し続けることへの重要性が増しています。

2つ目はコンプライアンスの再構築です。半導体業界の国際団体「SEMI」が公表した半導体セキュリティ規格に沿ってアセスメントを実施し、自社のセキュリティ対策の「現在地」を客観的に把握して改善項目を洗い出すことが必要です。定期的に自社の対策レベルを把握し続けることで、あるべき対策の「将来像」を社内で共有することができるのです。

また、1つ目と関連し、改善に取り組む項目の優先度付けにインテリジェンスを活用することできます。脅威アクターが悪用するTTP(Tactics:戦術、Techniques:技術、Procedures:手順)と、既存のセキュリティ対策を基礎として「どのフェーズにどのような対策を適用するか」という戦略を不断に練り、策定し、実行する。「Threat-Informed Defense」を採り入れ、グループ全体で素早くシフトできるかどうかが、サイバー対策の成否を左右するといっても過言ではありません。

直面する課題がたくさんある中、一度に全ての課題に手を付けるのは人材やコスト、時間などを考えると現実的ではありません。しかし、サイバーリスクが加速度的に高まる今、対策を施さなければ競合と比べたサイバー脅威への防衛力は劣後しかねません。自社のポートフォリオやビジネスを取り巻く環境に応じて優先順位を付け、着実に取り組み続けることが、サイバーリスクを軽減する近道であり、有効な手立てになるのです。

執筆者

名和 利男

PwC Japanグループ, サイバーセキュリティ最高技術顧問, PwC Japan

Email

山本 直樹

パートナー, PwCコンサルティング合同会社

Email

村上 純一

パートナー, PwCコンサルティング合同会社

Email

祝出 洋輔

シニアマネージャー, PwCコンサルティング合同会社

Email

PDF版ダウンロードはこちら

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

{{filterContent.facetedTitle}}

{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}

詳細をご希望の方は下記よりご連絡ください